Pénurie de compétences en cybersécurité

Contexte

business-discussions-2males-laptop-2

Pour faire face aux défis de sécurité très complexes auxquels sont confrontées les entreprises, le secteur de la sécurité, les pouvoirs publics et le monde universitaire doivent collaborer pour augmenter sensiblement le nombre de professionnels de la cybersécurité dans les effectifs. Il est indispensable d'éliminer les barrières empêchant l'accès au domaine et de multiplier les opportunités de formation. L'objectif étant que des personnes talentueuses issues de différents horizons aient la possibilité de combler la pénurie croissante de talents en informatique et en cybersécurité. Pour pallier le manque de professionnels qualifiés, il est indispensable de concevoir des solutions automatisées plus sophistiquées.

Selon les nombreuses études publiées, la pénurie de personnel en cybersécurité affecte la capacité des entreprises à gérer la sécurité de réseaux d'informations toujours plus complexes. Une étude réalisée en 2016 par McAfee et le Center for Strategic and International Studies (CSIS), « Pénurie de compétences : quelles solutions ? », a révélé que le déficit en compétences informatiques n'est pas un problème uniquement régional ou national, mais bien mondial. 82 % des répondants dans le monde ont fait état d'un manque de compétences en cybersécurité au sein de leur entreprise. 71 % ont reconnu que cette pénurie de talents rend les sociétés plus vulnérables aux cyberattaquants.

Ce problème devrait s'accentuer dans les années à venir. D'après l'étude Global Information Security Workforce Study publiée en février 2017 par (ISC)2, le manque de personnel devrait atteindre 1,8 million en 2022. Pour y remédier, les décideurs politiques doivent s'efforcer d'encourager une plus grande partie de la population à s'intéresser aux métiers techniques, tout particulièrement en cybersécurité.

La pénurie de compétences en cybersécurité est tout particulièrement sévère dans le secteur public. D'après l'ancien Directeur fédéral des systèmes d'informations des États-Unis, Tony Scott, on estime à 10 000 le nombre d'opportunités d'emploi en informatique dans le secteur public, mais il n'y a pas suffisamment de personnes qualifiées pour pourvoir les postes. Compte tenu du rôle vital joué par des organes comme le ministère de la Défense et celui de la Sécurité du territoire, sans oublier les agences de renseignement, dans la protection des États-Unis, cette pénurie en compétences est alarmante et mérite l'attention des décideurs politiques.

En mai 2017, le Président Donald Trump a promulgué un décret présidentiel sur la cybersécurité demandant aux ministres du Commerce et de la Sécurité du territoire d'évaluer l'ampleur et la suffisance des efforts de l'administration américaine pour instruire et former les effectifs en cybersécurité du futur. Ces initiatives incluent des cursus d'enseignement et des programmes de formation et d'apprentissage de l'école primaire à l'enseignement supérieur.

Importance pour McAfee

Garantir une offre suffisante de professionnels talentueux en cybersécurité, à tous les niveaux, représente l'une des plus importantes missions de notre entreprise. Nous sommes déterminés à collaborer avec les acteurs des secteurs public et privé pour combler le déficit systémique à long terme de compétences en cybersécurité par la promotion de politiques et l'établissement de partenariats avec les écoles et les universités. Notre engagement actif à cet égard nous offre également la possibilité de nouer des liens étroits dans les communautés où McAfee est présent, ce qui nous permet en retour de recruter et de conserver le type de talents dont nous avons besoin pour développer notre société et prospérer.

En tant que leader dans le domaine de la cybersécurité, McAfee s'est engagé à tout mettre en œuvre pour pallier le manque de compétences, mais aussi pour le compenser. Nous sommes persuadés qu'il faut mettre en place une automatisation intelligente dans un environnement intégré pour remplacer les ressources humaines nécessaires à la réalisation de tâches routinières. La défense des entreprises s'en trouvera renforcée. Pour atteindre cet objectif, il est nécessaire de définir une stratégie organisationnelle visant à implémenter une automatisation intelligente, pilotée par des informations contextualisées, et permettant au personnel de se consacrer à ce qu'il fait le mieux : réfléchir et agir.

Principaux points

Synergie entre les secteurs public et privé

Nous devons élaborer des approches créatives pour permettre aux secteurs public et privé de partager des talents, surtout lors d'incidents de cybersécurité graves. La cybersécurité est un domaine qui évolue constamment et les solutions parfaitement fonctionnelles aujourd'hui peuvent être obsolètes demain. Nous savons que les cybercriminels innovent et s'adaptent constamment, notamment face aux nouvelles fonctionnalités défensives développées par le secteur privé. Il est illusoire de penser que les informaticiens du secteur public puissent rester au fait des dernières évolutions d'un environnement aussi changeant sans l'aide du secteur privé. Il est nécessaire de concevoir un mécanisme pour que les professionnels de l'informatique, notamment les analystes chevronnés ou en devenir, puissent aller et venir entre les secteurs public et privé, afin que les pouvoirs publics disposent constamment de compétences nouvelles ou remises à niveau.

L'une des solutions possibles pour le ministère de la Sécurité du territoire consisterait à créer des partenariats avec des sociétés ou d'autres organisations, telles les universités, pour constituer une équipe de professionnels de la cybersécurité (opérateurs, analystes et chercheurs) autorisés à passer librement du secteur privé au public, et vice versa. Ces professionnels, plus particulièrement ceux du secteur privé, pourraient être régulièrement appelés à aider les pouvoirs publics ou une entité touchée à répondre rapidement à un acte de piratage majeur. Les experts en cybersécurité du public et du privé seraient amenés à changer régulièrement de poste, par exemple deux à trois semaines par an. Ce type de synergie aiderait toutes les parties à partager les meilleures pratiques en matière de technologies, processus métier et gestion du personnel. Le ministère de la Sécurité du territoire devrait inclure un vivier privé-public de professionnels certifiés dans son plan pour remanier ses pratiques d'embauche et de fidélisation du personnel de cybersécurité. Si ce ministère n'est pas prêt à agir, le Congrès devrait constituer une commission d'experts des secteurs public et privé pour se pencher sur les moyens permettant de mettre en place et de gérer un noyau flexible de professionnels de la cybersécurité. À l'instar des pratiques de la Garde nationale américaine, une approche de dotation en personnel flexible pour pallier le déficit de compétences pourrait devenir un modèle d'excellence.

 

Développement du programme CyberCorps

Le programme CyberCorps Scholarship for Service (SFS), un programme de subvention géré par la National Science Foundation (NSF) américaine, est conçu pour améliorer et renforcer le cadre de spécialistes en assurances des informations du secteur public, responsables de la protection des systèmes et des réseaux. Jusqu'à présent, le gouvernement fédéral a respecté ses engagements de soutien au programme SFS puisqu'il a dépensé 45 millions de dollars en 2015, 50 millions en 2016 et 70 millions en 2017, une demande budgétaire de 40 millions de dollars ayant été soumise par l'administration pour l'année 2018. Un investissement de 40 millions de dollars permet de subventionner un peu plus de 1 500 étudiants dans le cadre du programme de bourses d'études. Compte tenu de l'importance de la pénurie en compétences informatiques, les décideurs politiques devraient augmenter considérablement le budget du programme. Un financement de l'ordre de 180 millions de dollars pourrait subventionner environ 6 400 bourses d'études, ce qui permettrait de répondre au problème à court terme.

 

Création d'un programme destiné aux établissements d'enseignement supérieur de type court (community colleges)

Ces établissements attirent généralement une population très diversifiée, dont d'anciens militaires et d'autres étudiants adultes possédant une expérience professionnelle et cherchant à changer de carrière. Par le biais d'investissements publics et privés, ils pourraient mettre en place des cursus subventionnés, axés sur l'informatique et la cybersécurité. Les étudiants intéressés bénéficieraient d'un enseignement dispensé à la fois par le corps professoral de l'établissement et par des professionnels du secteur privé. À la clé, un certificat en cybersécurité de deux ans qui permettrait d'accéder à un établissement d'enseignement supérieur de type long ou directement au marché de l'emploi. Comme dans le cas du programme CyberCorps, les étudiants diplômés seraient engagés par l'État fédéral et devraient occuper un poste de fonctionnaire garanti pendant une période équivalente à celle de leur bourse d'études. Un tel programme devrait compléter plutôt que remplacer l'excellent programme CyberCorps Scholarship for Service existant.

 

Enseignement primaire et secondaire

Il est essentiel de faire savoir aux élèves du primaire et du secondaire que la cybersécurité est un excellent choix de carrière qui peut avoir un réel impact positif sur la société. Une étude récente de Microsoft révèle qu'en Europe, les filles commencent à s'intéresser vers 11 ans aux domaines des sciences, des technologies, de l'ingénierie et des mathématiques, mais que cet intérêt s'estompe dès 15 ans. Il serait donc nécessaire d'impliquer et de motiver ces jeunes femmes au cours de cette période critique.

Nous devons augmenter le recrutement d'enseignants, mais il est important de se rappeler que la cybersécurité est un domaine d'étude particulier qui exige une méthode d'enseignement unique. Les professionnels du secteur possèdent des expériences intéressantes et variées qui rendent plus attrayantes les formations sur la cybersécurité et offrent aux étudiants la possibilité d'acquérir des connaissances inestimables grâce à leur expérience pratique dans le domaine.

 

Promotion de la diversité

Le métier de la cybersécurité a tout à gagner de la diversité dans de nombreux secteurs. Le nombre de femmes travaillant dans ce domaine atteint à peine 11 % au niveau mondial, d'après le rapport Women in Cybersecurity réalisé par le Center for Cyber Safety and Education et l'Executive Women’s Forum on Information Security, Risk Management and Privacy. En Amérique du Nord, les femmes ne représentent que 14 % des professionnels de la cybersécurité. Ce pourcentage est encore plus faible pour les Afro-américains qui constituent seulement 3 % des analystes en sécurité des informations aux États-Unis, selon les statistiques du ministère du Travail. La formation et l'embauche d'un nombre accru de femmes et de personnes de couleur pourraient réduire le déficit de compétences. Fait intéressant, de nombreuses caractéristiques généralement associées à l'esprit féminin sont très utiles dans le domaine de la cybersécurité, notamment la collaboration, l'esprit d'équipe et la créativité.

En outre, nous pouvons intéresser davantage de femmes et de personnes plus philanthropes en expliquant mieux le côté humain du travail. Par exemple, les femmes diplômées en ingénierie sont plus nombreuses en ingénierie biomédicale et environnementale, car c'est là qu'elles voient le plus d'opportunités d'aider l'humanité. La cybersécurité est clairement un domaine qui contribue à protéger et à améliorer la vie des individus. Si nous présentons correctement le domaine, nous pourrions attirer un large groupe de jeunes filles et de femmes prêtes à venir grossir nos rangs et à combler ce déficit de 1,5 million et plus.

 

Automatisation des tâches de routine

Une dernière stratégie à plus long terme pour combler le déficit de compétences en cybersécurité est d'encourager le développement de systèmes plus automatisés. En particulier, les technologies avancées qui intègrent l'apprentissage automatique et l'intelligence artificielle. Une architecture automatisée limite les tâches de routine du personnel informatique et de la cybersécurité et leur permet de se concentrer exclusivement sur les activités qui exigent une analyse et une intervention humaines. L'utilisation de solutions automatisées plus avancées est une option à la fois efficace et nécessaire. Nous sommes encore loin de combler le déficit en compétences informatiques, même si nos technologies s'améliorent rapidement. Nous devons travailler simultanément selon deux axes. D'une part, la formation d'un nombre plus important de professionnels de la cybersécurité. D'autre part, la spécialisation de leur rôle grâce à l'automatisation de tâches de routine.